O bug Heartbleed não afeta apenas websites, mas também nos aparelhos que conectamos à Internet

21.04.2014
|
0 comentários
|

As gigantes da tecnologia Cisco (CSCO, Fortune 500) e Juniper (JNPR) identificaram dispositivos de rede – cerca de duas dezenas – afetados pelo Heartbleed, incluindo servidores, roteadores, switches, telefones e câmeras de vídeo utilizadas por pequenas e grandes empresas em todos os lugares. As empresas também estão revendo dezenas de outros dispositivos para determinar se eles estão afetados pelo bug também.

Isso significa que nos últimos dois anos, alguém pode ter sido capaz de violar os seus telefonemas e mensagens de voz no trabalho, todos os seus e-mails e sessões inteiras em seu computador ou iPhone. Você também pode ter se comprometido, se você se conectou no trabalho, remotamente, de casa. E você provavelmente nunca vai saber se você foi pego.
É por isso que esse bug está sendo apelidado de: “a maior façanha dos últimos 12 anos, pela sua magnitude e abrangência”, disse Sam Bowling, um engenheiro sênior de infraestrutura do serviço de hospedagem “Singlehop”.

Explicando o bug Heartbleed

O que a exposição realmente significa? O que poderia ser violado com o Heartbleed? Aqui está um resumo, feito pelos pesquisadores do provedor de segurança SilverSky e Singlehop .
Telefone comercial: Pelo menos quatro tipos de telefones IP da Cisco foram afetados. Se os telefones não estão protegidos por um firewall, alguém poderia usar Heartbleed para violar bancos de memória do seu telefone. Isso comprometeria trechos de áudio de conversas, senha de correio de voz e registro de chamadas.

Vídeo conferência: Algumas versões do serviço WebEx da Cisco estão vulneráveis. Hackers poderiam pegar imagens, áudio e vídeo na tela compartilhada.

VPN: Algumas versões do serviço de rede privada virtual da Juniper estão comprometidas. Se alguém invadir, pode pegar o que está na memória do computador no momento. Isso inclui sessões inteiras de e-mail, bancos e mídia social (pelo menos o nome dela).

Smartphone: Para permitir que os funcionários acessem arquivos de trabalho de seus iPhones e dispositivos Android , algumas empresas optam por AnyConnect aplicativo Mobility Secure Client da Cisco para iOS, que foi afetado pelo Heartbleed. Uma pessoa de fora poderia ver o que alguém acessa na integra.

Switches: É um software da Cisco que proporciona desempenho e segurança; está em risco. O software é notoriamente de difícil acesso, mas, através do bug, pode deixar um tráfego de interceptação de estranhos.

Cisco, Juniper e Apple (AAPL, Fortune 500) não responderam às perguntas de CNNMoney. Mas em seu site, Juniper disse aos clientes, “Estamos trabalhando ininterruptamente para fornecer versões corrigidas de códigos para os nossos produtos afetados”.

Mas corrigir o bug nesses dispositivos não vai ser fácil. Cisco e Juniper não podem simplesmente apertar um botão e imediatamente substituir o software vulnerável rodando nas máquinas, pois a correção depende da colaboração de cada pessoa ou empresa que utiliza esses dispositivos. E é aí que reside o problema.

“Muitas pequenas e médias empresas não têm o hábito de se atualizar quanto à tecnologia, e elas vão ter uma passividade enorme de exposição por um longo tempo”, disse John Viega, um especialista em segurança da Web e executivo de provedor de segurança SilverSky .

É por isso que a alteração de senhas não é necessariamente suficiente para superar o dano causado pelo bug Heartbleed. Mesmo que um site não seja vulnerável ao se comunicar com seus clientes, os servidores da empresa ainda podem ser expostos.

O problema não parece estar amplamente difundido no mercado. Linksys e D -Link fazem muitos dos roteadores que usamos para nos conectarmos à Web em casa, e eles dizem que nenhum dos seus dispositivos estão afetados. No entanto, Netgear (NTGR), outro produtor de roteadores, ainda não postou atualizações em seu site comentando o assunto.

Fonte: CNNMoney

Traduzido e adaptado por IKOEH

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.